Buona sera a tutti
sono ancora a chiedere il vostro aiuto e un po di pazienza per leggere il post
Un mio cliente ha una ditta con una sede distaccata e dalla sede distaccata si devo collegare con 5 terminali attraverso ddesktop remoto al server che si trova nella sede principale, fino ad ora avevano una VPN gestita da Telecom e io avevo solo dovuto adattare gli indirizzi ip in base alle indicazioni di telecom. Ora per ragioni di "risparmio" sono passati senza dirmi nulla a FastWeb, hanno gia fatto il contratto e sono gia installati i router (cisco 1751)nelle due sedi che attualmente li stannousando per uscire su internet.
Dopo molte telefonate al servizio clienti mi hanno detto chiaro e tondo che devo essere io a configurare la VPN perchè se lo fanno loro il cliente dovrà aspettare un mese e mezzo oltre a sostenere un notevole aumento del canone mesile. Siccome non ho mai configurato una cosa del genere mi trovo un pò a brancolare nel buio, perchè FASTWEB ha detto che i loro router sono chiusi e pertanto non c'è nessuna possibilità di accesso loro si limiteranno a sostituire gli indirizzi ip dell'interfaccia ethernet in base alle mie richieste, attualmente alla sede principale hanno assegnato 10.10.10.1 e quella secondaria con 192.168.100.1, sono io dever installare un altro router per ogni sede in cascata al loro in modo che saranno i quelli ad aprire il tunnel della VPN, in oltre ho gia dovuto comprare altri due ip pubblici per usare su tale configuarzione.
Ora vi domando io sono in possesso di due cisco 1720 con 32 mb di ram e la flash da 8 mb, per prima cosa devo aggiungere un altra porta Ethernet e caricare un software che gestisca la VPN, la ram è sufficente o devo aumentarla ? cosa mi occorre ancora? vi chiedo aiuto su come più o meno mi devo muovere nel frattempo vado a cercare anche qualche post con una conf di riferimento
Grazie a tutti per la paziena e scusatemi molto se l'ho fatta lunga
ciao
Loriano
VPN con FASTWEB
Moderatore: Federico.Lagni
-
emanuele.ciani
- Cisco fan
- Messaggi: 62
- Iscritto il: gio 11 mag , 2006 1:47 pm
- Località: Forlì
Ciao loriano
Controlla i prezzi perchè aumentando la ram, la flash, e aggiungendo una scheda eth per il 1720, ( l'ios FW ) ti conviene passare a un pix 501 per la sede remota magari 10 untenti e a un pix 501/506 per la sede centrale con licenza 50/unlimited a seconda degli utenti.
Ancora meglio un ASA 5505 entry level se in italia riescono ad arrivare!!!
Se rimani dell'idea di montare dei 1720 diccelo che controllo se c'è un IOS firewall per 32 mb di RAm
Ciao
Controlla i prezzi perchè aumentando la ram, la flash, e aggiungendo una scheda eth per il 1720, ( l'ios FW ) ti conviene passare a un pix 501 per la sede remota magari 10 untenti e a un pix 501/506 per la sede centrale con licenza 50/unlimited a seconda degli utenti.
Ancora meglio un ASA 5505 entry level se in italia riescono ad arrivare!!!
Se rimani dell'idea di montare dei 1720 diccelo che controllo se c'è un IOS firewall per 32 mb di RAm
Ciao
-
tda8191
- Cisco fan
- Messaggi: 28
- Iscritto il: mer 25 ott , 2006 9:35 am
- Località: Grosseto
mi scuso se non mi sono fatto più sentire il cliente a cui dovevo realizzare questa vpn ha avuto dei diverbi con fastweb ed aveva sospeso temporaneamente il tutto, attualmente si è risolto il diverbio ed ora mi trovo a dover configurare i due router che collegherò in cascata ai 1751 di FASTWEB.
l'indirizzo dell' interfaccia ethernet del router fastweb nella sede principale è 10.10.10.1 mentre quello della sede secondaria è 192.168.100.1,
di seguito vi posto le due configurazioni che ho provato a scrivere e che giustamente non funzionano in quanto come gia vi ho detto non ho molta esperienza soprattutto nelle VPN, è la prima ......
CONF ROUTER SEDE PRINCIPALE
Current configuration : 1533 bytes
!
version 12.2
no parser cache
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname VPN-1
!
enable password 7 0000000000000
!
username XXXXXXXX privilege 15 password 7 0000000000000
memory-size iomem 25
ip subnet-zero
!
!
no ip domain lookup
ip domain name fastweb.it
!
ip audit po max-events 100
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key XXXXXXXX address 89.97.XXX.XXX
!
!
crypto ipsec transform-set VPN-set esp-des esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 89.97.XXX.XXX
set transform-set VPN-set
match address 101
!
!
!
!
interface Ethernet0
description connected to router FASTWEB
ip address 10.10.10.2 255.255.255.248
ip nat outside
half-duplex
no cdp enable
crypto map VPN
!
interface FastEthernet0
description connected to LAN UFFICI
ip address 192.168.0.1 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.0.0 0.0.0.255 any
no cdp run
!
!
line con 0
exec-timeout 0 0
password 7 000000000000
login
line aux 0
line vty 0 4
privilege level 15
password 7 0000000000000
login local
transport input telnet ssh
!
end
CONF ROUTER SEDE MAGAZZINI
Current configuration : 1533 bytes
!
version 12.2
no parser cache
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname VPN-2
!
enable password 7 000000000000
!
username XXXXXXXXX privilege 15 password 7 00000000000000
memory-size iomem 25
ip subnet-zero
!
!
no ip domain lookup
ip domain name fastweb.it
!
ip audit po max-events 100
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key XXXXXXXXX address 83.103.XXX.XXX
!
!
crypto ipsec transform-set VPN-set esp-des esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 83.103.XXX.XXX
set transform-set VPN-set
match address 101
!
!
!
!
interface Ethernet0
description connected to router FASTWEB
ip address 192.168.100.2 255.255.255.248
ip nat outside
half-duplex
no cdp enable
crypto map VPN
!
interface FastEthernet0
description connected to LAN MAGAZZINO
ip address 192.168.1.1 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
!
!
line con 0
exec-timeout 0 0
password 7 0000000000
login
line aux 0
line vty 0 4
privilege level 15
password 7 0000000000
login local
transport input telnet ssh
!
end
gli indirizzi pubblici che fastweb ha assegnato ai ripettivi router sono :
SEDE UFFICI 83.103.xxx.xxx
SEDE MAGAZZINI 89.97.xxx.xxx
questi indirizzi sono girati sui relativi indirizzi privati 10.10.10.2 e 192.168.100.2
i router che sto usando 1720 con le seguenti caratteristiche:
ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
VPN-2 uptime is 2 hours, 19 minutes
System returned to ROM by power-on
System image file is "flash:c1700-k9o3sy7-mz.122-11.T.bin"
cisco 1720 (MPC860T) processor (revision 0x601) with 36864K/12288K bytes of memo
ry.
Processor board ID JAD044408XN (1319504024), with hardware revision 0000
MPC860T processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
1 Ethernet/IEEE 802.3 interface(s)
1 FastEthernet/IEEE 802.3 interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
grazie a tutti per la vostra pazienza e abbiate pietà per gli errori
Loriano
l'indirizzo dell' interfaccia ethernet del router fastweb nella sede principale è 10.10.10.1 mentre quello della sede secondaria è 192.168.100.1,
di seguito vi posto le due configurazioni che ho provato a scrivere e che giustamente non funzionano in quanto come gia vi ho detto non ho molta esperienza soprattutto nelle VPN, è la prima ......
CONF ROUTER SEDE PRINCIPALE
Current configuration : 1533 bytes
!
version 12.2
no parser cache
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname VPN-1
!
enable password 7 0000000000000
!
username XXXXXXXX privilege 15 password 7 0000000000000
memory-size iomem 25
ip subnet-zero
!
!
no ip domain lookup
ip domain name fastweb.it
!
ip audit po max-events 100
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key XXXXXXXX address 89.97.XXX.XXX
!
!
crypto ipsec transform-set VPN-set esp-des esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 89.97.XXX.XXX
set transform-set VPN-set
match address 101
!
!
!
!
interface Ethernet0
description connected to router FASTWEB
ip address 10.10.10.2 255.255.255.248
ip nat outside
half-duplex
no cdp enable
crypto map VPN
!
interface FastEthernet0
description connected to LAN UFFICI
ip address 192.168.0.1 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.0.0 0.0.0.255 any
no cdp run
!
!
line con 0
exec-timeout 0 0
password 7 000000000000
login
line aux 0
line vty 0 4
privilege level 15
password 7 0000000000000
login local
transport input telnet ssh
!
end
CONF ROUTER SEDE MAGAZZINI
Current configuration : 1533 bytes
!
version 12.2
no parser cache
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname VPN-2
!
enable password 7 000000000000
!
username XXXXXXXXX privilege 15 password 7 00000000000000
memory-size iomem 25
ip subnet-zero
!
!
no ip domain lookup
ip domain name fastweb.it
!
ip audit po max-events 100
!
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key XXXXXXXXX address 83.103.XXX.XXX
!
!
crypto ipsec transform-set VPN-set esp-des esp-sha-hmac
!
crypto map VPN 10 ipsec-isakmp
set peer 83.103.XXX.XXX
set transform-set VPN-set
match address 101
!
!
!
!
interface Ethernet0
description connected to router FASTWEB
ip address 192.168.100.2 255.255.255.248
ip nat outside
half-duplex
no cdp enable
crypto map VPN
!
interface FastEthernet0
description connected to LAN MAGAZZINO
ip address 192.168.1.1 255.255.255.0
ip nat inside
speed auto
no cdp enable
!
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 permit ip 192.168.1.0 0.0.0.255 any
no cdp run
!
!
line con 0
exec-timeout 0 0
password 7 0000000000
login
line aux 0
line vty 0 4
privilege level 15
password 7 0000000000
login local
transport input telnet ssh
!
end
gli indirizzi pubblici che fastweb ha assegnato ai ripettivi router sono :
SEDE UFFICI 83.103.xxx.xxx
SEDE MAGAZZINI 89.97.xxx.xxx
questi indirizzi sono girati sui relativi indirizzi privati 10.10.10.2 e 192.168.100.2
i router che sto usando 1720 con le seguenti caratteristiche:
ROM: System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1)
VPN-2 uptime is 2 hours, 19 minutes
System returned to ROM by power-on
System image file is "flash:c1700-k9o3sy7-mz.122-11.T.bin"
cisco 1720 (MPC860T) processor (revision 0x601) with 36864K/12288K bytes of memo
ry.
Processor board ID JAD044408XN (1319504024), with hardware revision 0000
MPC860T processor: part number 0, mask 32
Bridging software.
X.25 software, Version 3.0.0.
1 Ethernet/IEEE 802.3 interface(s)
1 FastEthernet/IEEE 802.3 interface(s)
32K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
grazie a tutti per la vostra pazienza e abbiate pietà per gli errori
Loriano
-
tda8191
- Cisco fan
- Messaggi: 28
- Iscritto il: mer 25 ott , 2006 9:35 am
- Località: Grosseto
penso che il NAT Traversal sia configurato ed i due router di fasweb dovrebbero essere trasparenti, infatti nella SEDE UFFICI l'ip pubblico 83.103.XXX.XXX assegnato da FASTWEB penso che sia stato girato con nat traversal sull' indirizzo 10.10.10.2, ho provato ad assegnare alla ethernet del mio portatile,dove avevo attivato un servizio ssh server, l'indirizzo privato 10.10.10.2 e poi da un computer remoto con un client ssh chiamavo l'ip pubblico assegnato , il mio portatile rispondeva correttamente e avveniva la connessione ssh senza problemi.
dunque credo che FASTWEB abbia configurato il NAT T
grazie ancora
buona serata
dunque credo che FASTWEB abbia configurato il NAT T
grazie ancora
buona serata
-
gullio23
- Cisco fan
- Messaggi: 38
- Iscritto il: gio 08 mar , 2007 8:37 pm
ma come fai a provare il nat t con ssh????
il nat t in teoria funziona solo per connessioni ipsec dietro nat, ovviamente secondo me e meglio che ti fai assegnare una classe pubblica aggiuntiva che ti per tutti i nodi non filtrata e cosi eviti tutte queste problematiche di nat vario. anche se fastweb per loro filosofia non assegnano molti ip pubblici, ma se paghi secondo me sei a cavallo.
ciao
Giulio
il nat t in teoria funziona solo per connessioni ipsec dietro nat, ovviamente secondo me e meglio che ti fai assegnare una classe pubblica aggiuntiva che ti per tutti i nodi non filtrata e cosi eviti tutte queste problematiche di nat vario. anche se fastweb per loro filosofia non assegnano molti ip pubblici, ma se paghi secondo me sei a cavallo.
ciao
Giulio
-
tda8191
- Cisco fan
- Messaggi: 28
- Iscritto il: mer 25 ott , 2006 9:35 am
- Località: Grosseto
Ciao Giulio,
Gli ip pubblici sono stati acquistati separatamente proprio perchè la possibilità di creare una vpn era subordinata all' aquisto degli ip, dal servizio tecnico di FASTWEB rispondono che tutto è stato configurato,pur chiedendo maggior informazioni non mi hanno dato nussun altra indicazione, si limitano a dire che tutto è configurato.
Grazie dell' aiuto
Loriano
Gli ip pubblici sono stati acquistati separatamente proprio perchè la possibilità di creare una vpn era subordinata all' aquisto degli ip, dal servizio tecnico di FASTWEB rispondono che tutto è stato configurato,pur chiedendo maggior informazioni non mi hanno dato nussun altra indicazione, si limitano a dire che tutto è configurato.
Grazie dell' aiuto
Loriano
-
gullio23
- Cisco fan
- Messaggi: 38
- Iscritto il: gio 08 mar , 2007 8:37 pm
ok, quindi se ho capito bene hai una subnet punto punto per i router fastweb e una /29 pubblica assegnata ai 1720. perche dalla configurazione mi sembra che tu abbia un ip pubblico solo per i router fastweb che poi e nattato verso il tuo 1720....
allora il mio consiglio se e fattibile da parte di fastweb e se vuoi utilizzare tunnel ipsec e di farti rilasciare una classe di ip pubblici che inserirai sui tuoi router che cosi saranno affacciati direttamente su internet senza blocchi e che quindi poi i problemi sono solo di configurazione.
altrimenti se vuoi sbrigarti senza avere problemi fai un tunnel ipip momentaneamente e vai.
fammi sapere
se vuoi ti posso dare una mano anche su msn.
Giulio
allora il mio consiglio se e fattibile da parte di fastweb e se vuoi utilizzare tunnel ipsec e di farti rilasciare una classe di ip pubblici che inserirai sui tuoi router che cosi saranno affacciati direttamente su internet senza blocchi e che quindi poi i problemi sono solo di configurazione.
altrimenti se vuoi sbrigarti senza avere problemi fai un tunnel ipip momentaneamente e vai.
fammi sapere
se vuoi ti posso dare una mano anche su msn.
Giulio
-
tda8191
- Cisco fan
- Messaggi: 28
- Iscritto il: mer 25 ott , 2006 9:35 am
- Località: Grosseto
prima di tutto ti ringrazio per il tuo aiuto,
si estato io ho un solo ip pubblico per ogni sede che sono nattati sui 1720
ho preso anche in considerazione l'eventuale acquisti di altri ip pubblici, ma il cliente ha detto che non vuole dare altri soldi a FastWeb altrimenti non c'è più tutto questo risparmio e continua a tenere la VPN con TELECOM.
Purtroppo si devo sbrigarmi perchè vogliono disdire il contratto con TELECOM il prima possibile.
ti sarei molto grato se tu mi potessi dare una mano
mi creo un account su msn , dimmi tu quando hai un po di tempo libero, non ti volgio dare molto fastidio.
Ciao Grazie ancora
Loriano
si estato io ho un solo ip pubblico per ogni sede che sono nattati sui 1720
ho preso anche in considerazione l'eventuale acquisti di altri ip pubblici, ma il cliente ha detto che non vuole dare altri soldi a FastWeb altrimenti non c'è più tutto questo risparmio e continua a tenere la VPN con TELECOM.
Purtroppo si devo sbrigarmi perchè vogliono disdire il contratto con TELECOM il prima possibile.
ti sarei molto grato se tu mi potessi dare una mano
mi creo un account su msn , dimmi tu quando hai un po di tempo libero, non ti volgio dare molto fastidio.
Ciao Grazie ancora
Loriano
-
gullio23
- Cisco fan
- Messaggi: 38
- Iscritto il: gio 08 mar , 2007 8:37 pm
allora il mio msn e [email protected] mi puoi contattare li.
cmq per sbrigarti ti do una conf di tunnel ipip che puoi utilizzare mentre provi l'altra conf.
interface Tunnel0
description
ip unnumbered (l'interfaccia che ti serve)
tunnel source (l'intefaccia sorgente)
tunnel destination (altro router)
tunnel mode ipip
tunnel key (key)
ovviamente ne puoi creare quanti ne vuoi tipo tunne1,2,3,4 etc...
cosi puoi accomodare per ora in modo che riusciamo a studiare la conf migliore.
ciao
Giulio
cmq per sbrigarti ti do una conf di tunnel ipip che puoi utilizzare mentre provi l'altra conf.
interface Tunnel0
description
ip unnumbered (l'interfaccia che ti serve)
tunnel source (l'intefaccia sorgente)
tunnel destination (altro router)
tunnel mode ipip
tunnel key (key)
ovviamente ne puoi creare quanti ne vuoi tipo tunne1,2,3,4 etc...
cosi puoi accomodare per ora in modo che riusciamo a studiare la conf migliore.
ciao
Giulio
